导语:软件弱点指软件在代码编写、功能实现、架构搭建或设计环节中存在的缺陷、程序错误、安全漏洞等问题,攻击者可利用这些弱点,入侵运行存在问题软件的系统。
MITRE公布了2025年度最危险的25类软件弱点榜单,这些弱点是2024年6月至2025年6月期间披露的39000余个安全漏洞的核心诱因。
软件弱点指软件在代码编写、功能实现、架构搭建或设计环节中存在的缺陷、程序错误、安全漏洞等问题,攻击者可利用这些弱点,入侵运行存在问题软件的系统。一旦成功利用这些弱点,威胁者即可控制被入侵设备,发起拒绝服务攻击,或是窃取敏感数据。
为编制本年度榜单,MITRE分析了2024年6月1日至2025年6月1日期间收录的39080条CVE漏洞记录,依据各类弱点的危害程度与出现频率进行打分排名。
尽管跨站脚本攻击(CWE-79)仍稳居榜单首位,但与去年的榜单相比,多个弱点的排名出现较大变动,其中排名上升幅度最大的包括缺失授权(CWE-862)、空指针解引用(CWE-476)、缺失身份验证(CWE-306)。
本年度新增入选榜单的高危害、高流行度弱点包括:经典缓冲区溢出(CWE-120)、基于栈的缓冲区溢出(CWE-121)、基于堆的缓冲区溢出(CWE-122)、访问控制不当(CWE-284)、通过用户可控密钥绕过授权(CWE-639)、无限制或限流的资源分配(CWE-770)。
这类弱点往往易被发现和利用,会催生可被利用的安全漏洞,让攻击者得以完全控制目标系统、窃取数据,或是导致应用程序无法正常运行。榜单明确了攻击者入侵系统、窃取数据或破坏服务时,所利用的最关键的软件弱点。
文章来源自:https://www.bleepingcomputer.com/news/security/mitre-shares-2025s-top-25-most-dangerous-software-weaknesses/如若转载,请注明原文地址
